Trafic de cartes bancaires : les français, proie favorite des criminels du Dark web

Une nouvelle étude sur les ventes illégales de données de cartes bancaires a révélé que presque 4,5 millions de cartes bancaires étaient en vente sur le Dark web. Plus de 150.000 cartes appartenant à des Français seraient disponibles à la vente dans ces réseaux clandestins.

Selon TechRadar relayé par PhonAndroid, de nombreuses cartes bancaires se retrouvent en vente sur le dark Web. Ce sont des chercheurs spécialisés en cybersécurité de NordVPN qui ont mis à nue cette fraude. Ils ont découvert que 4,48 millions de cartes bancaires étaient en vente, au prix moyen de 17 dollars ( soit 15 euros). D'après nos confrères, il s'agit d'une majorité de cartes appartenant à des Américains, mais les Français sont aussi touchés.

Nicholas Arpagian, expert en cybersécurité, a déclaré à France Info : "C'est une sorte de marché noir à l'échelle internationale. Les [utilisateurs] peuvent rapidement tirer profit de l'exploitation de ces données. Ils peuvent obtenir l'argent en très peu de temps et le transférer rapidement dans un endroit sûr. Il est donc monétisable en un temps extrêmement court".

Selon l'étude, les données provenant de Hong Kong ou des Philippines sont les plus chères du marché. Pour les quelque quatre millions de cartes bancaires volées, l'étude révèle que les criminels peuvent gagner jusqu'à 40 millions d'euros grâce à la revente de ces données (en moyenne 10 euros par carte).
M. Arpagian détaille : "Les pirates savent comment exploiter ces données. En outre, elles peuvent être géolocalisées, par exemple, de sorte que les cartes de tel ou tel pays ou zone géographique ont encore plus de valeur, et c'est pourquoi elles sont si recherchées par les pirates."
Le "dark web" est l'internet qui n'apparaît pas dans les moteurs de recherche traditionnels et qui nécessite un autre type de navigateur (Tor par exemple ) pour y accéder. S'il peut être utilisé comme un moyen d'accéder à l'internet de manière anonyme, il est aussi utilisé par les criminels pour des activités clandestines telles que la vente de drogues, d'armes et de données.

Comment prévenir le vol de données de cartes bancaires?

Damien Bancal, journaliste spécialisé dans la cybersécurité, conseille : "Il faut vérifier régulièrement ses comptes, et prendre au moins cinq minutes pour vérifier certains détails du site sur lequel vous effectuez des transactions...Sur Internet, vous devez prendre en compte l'ancienneté du site. S'il est connu, s'il a une adresse physique, s'il y a un numéro de téléphone, un service après-vente ou un bon nombre d'avis positifs". 

Il conseille également de vérifier que l'URL de la page commence par bien par un "https" et non par "http", car cela offre une sécurité supplémentaire pour l'utilisateur. 

Les utilisateurs peuvent également mettre en place une identification à deux facteurs, par exemple via une application de paiement, ce qui signifie que vous devez taper un code envoyé à votre appareil mobile afin d'autoriser une transaction.
Le spécialiste a aussi signalé que de nombreuses banques ont "fait beaucoup d'efforts" pour sécuriser les transactions sur internet, mais que chaque consommateur doit prendre ses responsabilités pour éviter de "diffuser les détails de sa carte de crédit partout".

Les fraudeurs n'hésitent pas à cloner les sites web des marques reconnues, afin de rassurer les victimes et les inciter à entrer leur données. En effet, certains sites se présentent également comme des "revendeurs agréés" de géants du commerce en ligne tels que Amazon et se font passer pour des destockeurs de "marchandises invendues" sur le site, à des prix extrêmement bas.

De nouvelles mesures pour mieux sécuriser les transactions bancaires

Les nouvelles normes de sécurité de l'UE visent à améliorer la sécurité des achats en ligne. En vertu de la directive européenne PSD2 sur les services de paiement, les banques et les commerçants en ligne sont désormais tenus de déployer un système d'authentification fort pour les paiements électroniques ou les transactions bancaires sensibles. Cela signifie que deux mesures de sécurité sur trois seront nécessaires pour effectuer des paiements en ligne en utilisant une application sur un smartphone reconnu.
Les clients doivent recevoir un avis d'authentification, soit en saisissant un code d'identification personnel unique dans une appli bancaire, soit par des méthodes biométriques - telles que l'empreinte digitale, la reconnaissance faciale ou la reconnaissance de l'iris  (pour les mobiles qui disposent de cette option).
Pour les clients qui ne disposent pas d'un smartphone, « les banques proposent des solutions alternatives telles que l'utilisation d'un SMS à usage unique couplé d'un mot de passe connu du client, ou l'utilisation d'un dispositif physique dédié », précise la fédération bancaire de l'UE.